所有组织都应向 CISA 的 24/7 运营中心报告事件和异常活动,地址为 report@cisa.gov 或 (888) 282-0870。请提供以下与事件相关的信息(如有):事件的日期、时间和地点;活动类型;受影响人数;活动所用设备类型;提交公司或组织的名称;以及指定联系人。如需满足 NSA 客户要求或一般网络安全咨询,请联系 Cybersecurity_Requests@nsa.gov。州、地方、部落和领土政府实体也可以向 MS-ISAC(SOC@cisecurity.org 或 866-787-4722)报告。本文件标记为 TLP:CLEAR。披露不受限制。当信息具有最小或没有可预见的滥用风险时,信息来源可以使用 TLP:CLEAR,并遵守适用的公开发布规则和程序。根据标准版权规则,TLP:CLEAR 信息可以不受限制地分发。有关交通灯协议的更多信息,请参阅 cisa.gov/tlp/。
明确总部和各地区之间的利益相关者管理角色和职责是本战略计划的核心,涉及阐明共享 CISA 利益相关者关系管理的最佳方式。它还推动努力定义使用技术实现 CISA 使命的标准方法。这包括 CISA 使用利益相关者关系管理 (SRM) 平台来管理全机构利益相关者的联系和参与信息,以及该机构使用利益相关者地图来可视化利益相关者与 CISA 以及彼此之间的关系,以便 CISA 能够更好地理解和支持他们。这些工具的流程和见解将在整个机构中共享,提供透明度并促进建立和加强我们的伙伴关系以及降低关键基础设施风险所需的团队合作。
CISA 由 2018 年《网络安全和基础设施安全局法案》成立,既是美国的网络防御机构,也是关键基础设施安全和弹性的国家协调员。这一广阔的任务空间需要与全球利益相关者进行接触和合作,以及强大的国内和地区影响力。我们面临的威胁(数字和物理、人为、技术和自然)比历史上任何时候都更加复杂,威胁行为者也更加多样化。CISA 是动员集体防御的核心,我们领导着国家努力了解、管理和降低关键基础设施的风险。通过我们的所有努力,我们将保持警惕,保护美国人民的隐私、公民权利和公民自由。
当供应商的项目管理团队从其客户的用户群、技术群和营销团队收集功能请求时,该流程就开始了。这些功能包括产品的操作和安全增强功能,用于生成用例,然后将其制定为优先需求。供应商和开发人员管理团队共同定义用于生成架构和高级设计的需求,开发团队将使用它们来生产产品。此外,联合管理团队还定义了生产产品时使用的产品开发安全策略和实践。该流程定义了如何构建开发活动以及将收集哪些工件进行验证和确认。以下是安全 SDLC 流程和实践的简短示例列表:
IT 系统和 OT 系统在许多方面都不同。首先,OT 系统与 IT 系统具有不同的性能要求,这在将 IT 安全应用于 OT 系统时带来了挑战。其次,IT 系统设计用于一般用途,这些系统支持各种技术、应用程序和用户。相反,OT 系统服务于特定目的,因此这些系统专注于特定要求并执行特定功能。最后,OT 系统的预期生命周期为十年或更长时间,这比 IT 系统的生命周期长得多。这使得组织内的 IT 安全专业人员和 OT 系统操作员之间的优先级不同。虽然 IT 安全实践可以告知 OT 安全要求,但 OT 系统需要更专业的解决方案来满足系统的性能要求。
NCF 是政府和私营部门的职能,对美国至关重要,它们的破坏、腐败或功能失调将对安全、国家经济安全、国家公共卫生或安全或其组合产生破坏性影响(请参阅《关于改善关键基础设施控制系统网络安全的国家安全备忘录》)。为了帮助关键基础设施合作伙伴为采用后量子密码学做好准备,CISA 分析了 55 个 NCF 中的每一个如何容易受到量子计算能力的攻击。CISA 还分析了 NCF 特定系统在迁移到后量子密码学时可能面临的挑战。这项分析的结果确定了紧迫的漏洞和最重要的 NCF,需要首先解决,才能成功迁移到后量子密码学。
我们全球技术基础设施的规模和效率是通过关键构建块的标准化实现的。这些可重复使用的构建块虽然可用于大规模创建软件,但也会产生依赖性和风险,而这些依赖性和风险往往在它们表现为安全问题时才被理解。例如,集成到许多其他软件包中的软件构建块中的漏洞意味着使用这些软件包的每个组织都面临风险。这也意味着系统所有者可能不知道易受攻击的软件在其环境中的位置。当威胁行为者也很容易利用此类漏洞来获得对受感染系统的广泛控制时,它可能会造成百年不遇的安全事件。这就是 2021 年 12 月引起公众关注的 Log4j 漏洞所发生的事情。
• 应对 CISA 的劳动力挑战:招募和留住具备关键任务网络安全技能的专业人员的能力将是 CISA 持续面临的挑战和最大的资产。之前的报告(例如 2012 年国土安全部网络技能工作组报告)已多次提到联邦网络劳动力危机,但数百个联邦网络安全职位仍然空缺,仅在美国就有近 60 万个职位空缺。应对劳动力危机已成为一个关键的国家安全威胁,需要紧急有效地简化当前的招聘和留用流程,并通过与大学、社区学院、私人培训组织、行业和其他联邦机构建立创新伙伴关系,彻底扩大网络安全人才渠道。在 CISA 建设基础设施和劳动力队伍的同时,CISA 必须 (1) 优先考虑战略性劳动力发展; (2) 大幅改善人才获取流程,使其更加
作战技术 (OT) — 包括工业控制系统 (ICS)、信息物理系统 (CPS)、工业物联网 (IIoT) 和其他技术 — 在动能战争中发挥着至关重要的作用。这涵盖了嵌入国防部 (DoD) 各种关键任务资产以及作战所依赖的系统(例如设施、燃料、物流、制造、医疗、空间和武器系统 1)的各种形式的 OT。事实上,国防部拥有 400 多个基地、250,000 个设施和 400,000 个建筑物,是世界上最大的 OT 资产所有者和运营商之一,估计拥有超过 26 亿台 OT 设备。国防部维护着各种高度分布和异构的 OT 设备,涵盖超过 90,000 个操作系统。这些 OT 设备中有许多也已过时,实际上本质上是不安全的,有些设备已有 30 多年历史 2 。因此,OT 对于在战区内实现作战人员的动能军事行动至关重要。任何对 OT 系统的破坏都会严重影响国防部行使武力的能力。鉴于 OT 系统出了名的脆弱性及其相关的网络安全挑战,这一点非常令人担忧。除了军事技术中的 OT 之外,支撑国内关键基础设施的 OT 通常是参与网络战的民族国家的预定目标,也就是说,即使在没有持续的动能军事冲突的情况下也是如此。这样的例子比比皆是,例如伊朗和以色列之间正在进行的网络战,据报道,水利设施和加油站都遭受了网络攻击 3,4 。OT 还处于动能战和网络战的交叉点,通常被称为“混合战争”。2008 年俄格战争中俄罗斯对格鲁吉亚的进攻被广泛认为是这种动能战和网络战相结合的“混合战争”的首例。正如 David Hollis 在 Smalls Wars Journal 的案例研究中所述,“这似乎是历史上第一例与其他作战领域(包括陆、空、海、天)的主要作战行动同步进行的协调网络空间领域攻击” 5 。在这次战役中,俄罗斯采用了各种技术、战术和程序 (TTP),包括通过分布式拒绝服务 (DDoS) 攻击破坏格鲁吉亚政府网站、破坏这些网站、重新路由格鲁吉亚互联网流量以及获得对新闻机构的外部控制 6 。当今的混合冲突自 2008 年以来取得了重大进展。这些努力使俄罗斯能够控制各种叙述并中断格鲁吉亚的通信;然而,这次行动似乎仅针对信息技术 (IT),并未破坏 OT 系统 7。微软的“特别报告:乌克兰”8 对此进行了详细说明。在与动能军事行动协调的众多俄罗斯网络攻击中,微软、ESET 和 CERT-UA 发现了一次针对乌克兰能源公司 ICS 的擦除器攻击。这被认为源于一种名为“沙虫”的高级持续性威胁 (APT),该威胁组织还对 2015 年乌克兰电网的网络攻击以及 2008 年针对格鲁吉亚的 DDoS 攻击负责 9,10。此次攻击的预先部署阶段发生在冲突前几周,破坏性恶意软件的部署发生在冲突的第 6 周,即 3 月 31 日至 4 月 8 日 11 。这次攻击也被称为“Industroyer 2.0” 12 。上面详述的活动展示了如何将关键基础设施与动能军事行动结合起来,以产生重大影响。破坏一个国家的能源供应和其他关键基础设施即使在和平时期也会导致大规模的社会和经济混乱,在战争时期甚至会造成更大的破坏。我们还没有看到公开记录表明 OT 的场景